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PROCEDE DE GESTION SECURISEE D'UN COMPTEUR D^UNITES ET 
MODULE DE SECURITE METTANT EN OEUVRE LE PROCEDE 

La presente invention a pour objet un procede de 
gestion securis6e d'un compteur d' unites implante en 
memoir e, notamment d'une carte a puce en relation avec 
un terminal. Elle pourrait neanmoins s'appliquer a tout 
autre type de memoire. 

L' invention est particulierement utile quand il 
s'agit de compter un tres grand nombre d' unites tout en 
preservant la capacite de memorisation de la memoire. 

De part la technologie employee par les fabricants 
de memoire non volatiles effacables et programmables 
electriquement (par exemple EEPROM) , la f aculte de 
memorisation de la memoire (aptitude a etre mise a 
jour) est limitee dans le temps. 

Les fabricants garantissent le bon coraportement de 
la memoire pour un nombre limite de mises a jour de la 
memoire (une mise a jour comprend une operation 
d'effacement suivi d'une programmation ou ecriture) . Au 
deia, la memoire risque de ne plus etre effacee 
correctement ou 6tre programmed correctement . 

En moyenne, le nombre de mises a jour garanti par 
les fabricants de memoire est de l'ordre de 100 000 par 
emplacement memoire. Dans le cas d'un compteur 
d' unites, le probleme consistant a preserver la f aculte 
de memorisation dudit compteur est d'autant plus 
difficile a resoudre que le nombre d'unites a compter 
est grand et que la frequence de mise a jour du 
compteur est importante. 

L' invention sera particulierement decrite dans le 
cas d'une application a carte a puce dans le domaine de 
la publiphonie. 

II est connu dans le domaine de la carte a puce, 
qu'une transaction entre un terminal et un porte- 
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monnaie electronique externe est organisee autour d'un 
module de securite (MS) comprenant un microprocesseur. 
Le module est generalement integre au terminal. 

Le r61e d'un module de securite est notamment de 
veiller a la verification de 1' authentication des 
cartes porte-monnaie electroniques externes au 
terminal. Dans le cadre de la publiphonie, la carte a 
puce porte-monnaie est une telecarte (non 
rechargeable), le terminal est un publiphone (ou cabine 
telephonique) et le module de securite peut etre lui- 
meme par exemple etre une carte a puce implantee dans 
le. terminal. 

On peut noter que le jeu de commandes du composant 
dudit module de securite s'appelle "systeme 

d' exploitation" . 

L'utilisation d'un module de securite permet de 
donner a l'exploitant d'un publiphone les moyens 
d'authentifier les telecartes qui sont inserees par les 
clients porteurs desdites telecartes. Ainsi les cartes 
frauduleuses sont rejetees. 

En plus des fonctions d' authentif ication, le module 
propose a l'exploitant d'un publiphone de gerer de 
maniere securisee un compteur d' unites qui enregistre 
toutes les unites consommees par les differents 
titulaires de cartes a pre-paiement ou de telecartes 
durant les communications tel€phoniques passees a 
partir dudit publiphone. 

Cette fonctionnalite ouvre la voie a des solutions 
multi-operateurs oil 1' emetteur des telecartes 
(operateur) ne serait pas l'exploitant unique du 
publiphone. Pour cela, il est prevu de disposer au sein 
de la memoire du module de securite implante dans 
chaque publiphone, d'un compteur d' unites dedie a 
chaque operateur. 
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Tou jours dans le cadre de la publiphonie, un tel 
compteur doit pouvoir memoriser plus de 16 millions 
d' unites ce qui correspond a un maximum d' unites 
telephoniques susceptibles d'etre enregistrees sur des 
lieux publics tres frequentes (aeroports) pour des 
mesures effectuees sur la duree de vie moyenne des 
compteurs d'un publiphone ( environs 3 ans) . 

La mise a jour dudit compteur peut en outre etre 
exigfee a plusieurs reprises durant une communication 
telephonique . 

Pour memoriser autant d' unites a 1'aide des 
compteurs de 1'art anterieur il faudrait utiliser une 
memoire de 24 bits, Toutefois dans ce cas le nombre de 
mises a jour excederait la capacite de memorisation de 
cette memoire, Cette solution n'est done pas 
envisageable • 

Dans 1' invention, on a prevu de remedier h ce 
probleme en decomposant le compteur d' unites en au 
moins deux zones principales. 

La premiere zone memoire du compteur (zone A) est 
consideree cone un champ de bits. A chaque bit 
memorise ou "grille" ou "ecrit" ou "allumS" correspond 
une unit6 de communication consommee. On parle 
egalement de "jeton" pour caracteriser un bit memorise 
de la zone A. 

Une seconde zone memoire (zone B) plus restreinte 
dont la taille permet de coder la valeur maximale du 
nombre d' unites a memoriser. 

Ces zones memoires sont des zones memoire d'une 
memoire non volatile programmable electriquement et 
eff arable electriquement. 

S'agissant de la zone A et sans rentrer dans la 
technologie de programmation des memoires , un 
emplacement memoire sera considere indisponible lorsque 



un bit y sera memorise. On parlera dans la suite de 
maniere indifferente de bit memorise ou de "bit allume" 
ou de "bit grille" ou de bit ecrit pour signifier que 
les emplacements memoire sont indisponibles et de bit 
eteint ou non grilles pour signifier que les 
emplacements sont disponibles (libres). 

Par convention, on considerera qu'un bit est allume 
lorsque son etat logique est egal a 1, et qu'un bit est 
6teint lorsque son etat logique est egal a 0. 

Un bit allume ne sera rendu disponible (eteint) 
qu'au prochain effacement de toute la zone A 
(extinction de tous les bits la composant) . 

L' invention a done plus particulierement pour objet 
un precede de gestion securisee d'un compteur d' unites 
dans une memoire programmable electriquement , selon 
lequel on enregistre un nombre d' unites consommees par 
des utilisateurs au moyen du compteur, principalement 
caracterise en ce qu'il consiste a decomposer le 
compteur d' unites en au moins deux zones memoires (A, 
B), une premiere zone (A) dans laquelle on memorise au 
moins un bit par au moins une unite consommee et une 
deuxieme zone (B) dans laquelle on memorise la valeur 
correspondant au cumul d' unites consommees, la deuxieme 
zone n'etant mise a jour que lorsque le nombre d'unites 
consommees depasse ou atteint le nombre de bit non 
memorise de la premiere zone. 

Les unites consommees sont enregistrees dans la 
premiere zone de maniere cyclique. 

Un cycle correspond a une sequence d'allumage du 
premier bit de la premiere zone (A) vers le dernier. II 
prend fin lorsque tous les bits ont ete allumes. 

Une operation d' enregistrement de n unites 
consommees comprend les etapes suivantes : 
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- lecture du contenu de la premiere zone et 
comparaison du nombre de bits non memorises au nombre 
d 'unites consommees a enregistrer, 

- si ce nombre de bits non memorises est superieur 
ou egal au nombre d' unites a enregistrer, on memorise 
les bits a enregistrer dans ladite zone, 

- si ce nombre est inferieur, on memorise ce nombre 
de bits dans la premiere zone et on enregistre les 
unites restantes dans la deuxieme zone en effectuant 
une operation de mise a jour de cette zone et la 
premiere zone est effacee. 

Une operation de mise a jour de la deuxieme zone 
(B) comprend une etape d'ecriture dans cette zone d'une 
nouvelle valeur de compteur codee egale a la valeur 
courante a laquelle on ajoute le nombre de bits grilles 
de la premiere zone (A) et les unites restantes 
consommees a memoriser. 

La mise a jour de la deuxieme zone comprend une 
etape prealable d'enregistrement d'une information 
temoin signifiant qu'une mise a jour est en cours, puis 
lorsque la mise a jour est terminee, la mise a jour 
consiste a effacer la premiere zone (A) et S effacer 
1' information temoin. 

Pour ameliorer la securite le compteur d' unite 
comporte une zone de sauvegarde (SB) de la deuxieme 
zone (B) et ces deux zones comportent chacune un champs 
pour l'enregistrement d'un code de redondance (CR, SCR) 
pour la verification de l'integrite du contenu de ces 
deux zones. 

Une operation d'enregistrement de n unites 
consommees comprend en outre une etape prealable de 
verification de l'etat du compteur comprenant les 
operations suivantes : 



- verification de 1' absence de 1' information temoin 

d'une mise a jour en cours : 

- dans le cas ou 1 ' information temoin est bien 

absente : 

- verification de la validite des champs 
contenant les codes de redondances : 

dans le cas ou les champs sont valides : 

- enregistrement des n unites; 

dans le cas ou les champs ne sont pas 
valides : 

- detection d'un defaut et arret du 
compteur, . 

- dans le cas ou 1 ' information temoin est 
presente : 

- activation de 1' operation de recouvrement 
pour retablir l'integrite des contenus du compteur. 

Une operation de mise a jour de la deuxieme zone 
comporte alors les etapes suivantes: 

- enregistrement de 1' information temoin, 

- recopie dans la zone de sauvegarde (SB) de la 
valeur du compteur codee de la deuxieme zone (B) , 

- enregistrement de la nouvelle valeur du compteur 
codee dans la deuxieme zone (B) , 

- ef f acement de la premiere zone (A) , 

- effacement de 1' information temoin. 

L' operation de recouvrement consiste a determiner a 
quelle etape s'est produite l'anomalie (une coupure de 
courant), puis & operer selon le cas determine, les 
etapes de mise a jour de la zone de sauvegarde (SB) 
et/ou de la deuxieme zone (B) et/ou de la premiere 
zone. 

Avantageusement, la determination de 1' etape a 
laquelle s'est produite l'anomalie consiste a lire le 
contenu de chacune des zones pour savoir si l'anomalie 
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s'est produite pendant la mise a jour de la zone de 
sauvegarde (SB) cas 1, pendant la mise a jour de la 
deuxieme zone (B) cas 2, pendant 1'ef f acement de la 
premiere zone (A) cas 3, entre la mise a jour de la 
5 deuxieme zone (B) et la zone de sauvegarde (SB) cas 4, 
apres la mise a jour de ces deux zones cas 5- 

De fa?on pratique, le recouvrement consiste dans le 
cas la: 

- recopier la valeur contenue dans la deuxieme zone 
10 (B) dans la zone de sauvegarde (SB) , 

- mettre a jour la deuxieme zone (B) en 
enregistrant la nouvelle valeur qui est egale a 
l'ancienne a laquelle on ajoute le contenu de la 
premiere zone (A) , 

15 - ef facer la premiere zone (A) , 

- ef facer 1 ' information temoin (C2) ; 
dans le cas 2 a : 

- recopier dans la deuxieme zone (B) la valeur 
contenue dans la zone de sauvegarde (SB) en rajoutant 

20 la valeur contenue dans la premiere zone (A) , 

- ef facer la premiere zone (A) , 

- ef facer 1 ' information temoin (C2) ; 
dans le cas 3 a : 

- ef facer le contenu de la premiere zone (A) , 
25 - ef facer 1 ' information temoin (C2) ; 

dans le cas 4 a : 

- mettre en oeuvre les etapes selon le cas 2 ; 
dans le cas 5 a : 

- mettre en oeuvre les etapes selon le cas 3. 

30 Avantageusement le procede comprend en outre une 

etape d'enregistrement d'une information significative 
d'une defaillance en lecture ou en ecriture de la 
premiere zone (A) desactivant ladite zone lorsqu'il n'a 
pas ete possible de lire ou d'ecrire dans cette zone, 
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et une etape de " lecture de cette information a chaque 
nouveau cycle, les unites consommees etant alors 
directement enregistrees de maniere codee par une 
operation de mise a jour de la deuxieme zone (B) . 

L' information temoin (C2) d'une mise a jour en 
cours et 1' information significative d'une defaillance 
(CI) en lecture et en ecriture de la premiere zone sont 
enregistrees dans une troisieme zone (C) dudit 
compteur. 

L' invention concerne egalement un module de 
securite mettant en oeuvre le procede conforme a 
1 '.invention. 

Un tel module pourra etre implante dans un terminal 
gerant des unites consommees par les utilisateur du 
terminal, il pourra s'agir notamment d'un terminal de 
telephonie. 

D'autres particular ites et avantages de 1' invention 
apparaltront a la lecture de la description qui est 
faite ci-apres et qui est donnee a titre d'exemple non 
limitatif en regard des dessins annexes sur lesquels: 

- la figure 1, represente de facon schematique le 
compteur d' unites selon 1' invention ; 

- la figure 2A, represente les etapes d'enregistre- 
ment de n unites selon le procede de 1' invention ; 

- la figure 2B, represente l'etape prealable de 
verification 10 de la figure 2A; 

- la figure 3, represente les etapes d'enregistre- 
ment des unites dans la deuxieme zone (mise a jour) 
selon un mode pref€re de realisation ; 

- la figure 4, represente les etapes du mecanisme 

de recouvrement ; 

- la figure 5, illustre une variante dans le 

procede conforme a 1' invention. 



Le procede decrit dans la suite conccrne un 
compteur protege contre la fraude (1' intrusion, la 
falsification) . Le procede prevoit que lorsque le 
compteur est sature, ce dernier s'arrete et en informe 
I'application qui l'utilise. 

Dans l'exemple d' application qui est donne ci- 
apres, et qui correspond au cas de la publiphonie cit6 
dans le preambule, les unites consommees sont des 
unites telephoniques et les tailles des zones A et B 
sont bien evidemment definies ici a des fins d'exemple. 

II est pertinent de considerer una zone A de 168 
bits et une zone B de 24 bits (24 bits perinettent en 
effet de memoriser 16 777 215 unites) . 

La zone B est a son tour dedoublee pour pallier a 
des problemes de coupure de courant durant la raise a 
jour du compteur (cf . figure 1) . Ce cas est detaille 
dans la suite. 

Comme cela a deja ete mentionne la duree 
d' exploitation du compteur est directement liee au 
nombre de mises a jour (effacement et ecriture) . II est 
done imperatif de trouver une structure de compteur et 
un procede de comptabilisation qui reduise le nombre de 
mises a jour. 

Dans le cadre de 1' invention, la memorisation des 
unites de communication consommees s'effectue comme 
suit. 

On suppose que la duree d'une communication 
t&lephonique est divisee en plages de temps. La dur6e 
d'une plage de temps correspond a un nombre d' unites 
consommees fixe. Dans cet exemple, le cycle 
d'enregistrement des unites consommees sont definis par 
ces plages de temps. 



10 



Au debut de chaque plage de temps, le nombre 
d' unites consommees doit etre memorise dans le module 
de securite. 

Ainsi, dans le cas d'une communication necessitant 
13 unites au total et oCt une plage de temps elementaire 
comprend 3 unites, le compteur d'unites au sein du 
module de securite sera mis a jour cinq fois durant la 
communication et une cinquieme fois en fin de 

communication . 

Le precede de gestion du compteur d'unites se 
definit par les etapes 10, 20, 30, 40, 50, 60 
illustrees par la figure 2A. 

Une etape prealable a 1' enregistrement des unites 
consiste a verifier l'etat du compteur (etape 10) 
detaill^e a partir de la figure 2B. 

A chaque demande de memorisation d' unites 
consommees, le systeme d' exploitation du module de 
securite gerant le compteur verifie que le nombre de 
bits eteints (disponibles) dans la zone A est superieur 
ou egal au nombre d'unites a memoriser (cf. figure 2A) . 

Dans l'affirmative, si n unites ont ete consommees, 
n bits disponibles dans la zone A sent grilles, (on 
peut prevoir a titre de variante selon 1' application, 
que n bits disponibles dans la zone A soient grilles 
pour n paquets d'unites consommees) . 

Cette operation ne necessite aucun effacement et 
seule une action d'ecriture revient a griller certains 

bits de la zone A. 

Des que le nombre n d'unites consommees a memoriser 
excede le nombre de bits disponibles L restant dans la 
zone A, on eteint le nombre de bits disponibles L dans 
la zone A et les unites consommees restantes n-L sont 
comptabilisees dans la zone B. Une nouvelle valeur 
codee tenant compte de ces unites restantes est 
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enregistree dans la zone B par une operation de mise a 
jour comme suit : 

La nouvelle valeur de la zone B (nombre total 
d'unitfes) est egale a la valeur courante de la zone B a 
5 laquelle il faut a j outer le nombre de bits grilles dans 
la zone A (valeur VA) et le nombre n-L d' unites a 
memoriser. 

La mise a jour de la zone B entralne une lecture de 
celle-ci suivie d'un effacement et d'une ecriture. 

10 La zone A est quant a elle effacee entierement 

(tous les bits sont de nouveau disponibles) . 

On pourrait prevoir egalement selon 1' invention, 
dans le cas ou le nombre de bit disponibles dans la 
zone A est insuffisant, de completer cette zone A, puis 

15 de faire une mise a jour de la zone B en memorisant 
comme nouvelle valeur la valeur precedente a laquelle 
est ajoute le contenu de la zone A, puis d'ef facer la 
zone A et enfin de memoriser dans la zone A les unites 
consommees restantes (au lieu de les memoriser dans la 

2 0 zone B) • Cette variante reste bien dans le cadre du 
principe de 1' invention. 

Avec ce procede, bien que la frequence de 
memorisation d' unites consommees soit importante, la 
frequence d' effacement des zones A et B est bien plus 

25 faible. II en est de meme pour la frequence d'ecriture 
des differentes emplacements memoire composant la zone 
A et par voie de consequence la zone B. 

La frequence d' effacement et d'ecriture des 
emplacements memoire composant le compteur d' unites est 

30 directement liee d'une part a la dimension de la zone A 
et d' autre part a la granularite utilisfee pour 
decomposer une communication (on entend par granularite 
une periode elementaire de communication correspondant 
a un nombre d'unites predetermine par 1 ' operateur) . 
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On peut rioter que pour connaitre a tout instant le 
nombre total d' unites consommees a l'aide du 
publiphone, il suffit d'ajouter a la valeur courante de 
la zone B, le nombre de bits grilles de la zone A. 

Dans le cadre de 1' invention, il est propose 
d'utiliser une f onctionnalite supplement a ire pour 
prolonger la duree de vie du compteur d' unites. 

En effet, il est connu qu'un champ de bits est 
subdivise en ensembles de huit bits consecutifs appeles 
octets. Comme il est decrit plus haut, la zone A est 
effacee aussi frequemment que la zone B. Cependant, 
pour des facilites de programmation ou des contra intes 
liees au composant utilise, le fait de griller un bit 
au sein d'un octet peut entrainer un nouveau grillage 
des bits deja grilles au sein dudit octet. 

Ainsi, un octet appar tenant a la zone A peut etre 
plus souvent ecrit (c'est a dire, ses bits grilles) 
qu'un octet composant la zone B. La zone A etant alors 
plus stressee que la zone B, la duree d' exploitation du 
compteur est done directement liee a la capacite de 
memorisation de la zone A. 

Pour pallier a ce probleme, on propose dans le 
cadre de 1' invention de prevoir au sein du compteur 
d'unites, une zone memoire supplement a ire denommee zone 
C comprenant au moins un emplacement pour raemoriser 
l'information Cl (cf. figure 1 et figure 5). 

Cette variante du precede est illustree par la 

figure 5. 

Dans cette variante, l'etape de verification de 
l'etat du compteur, prealable a 1' enregistrement des 
unites consommees comporte une lecture de la zone C 
pour verifier si 1' information Cl existe. 

Cette information Cl est ecrite des qu'un 
emplacement memoire de la zone A ne peut plus etre 
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efface ou ecrit (car il est prevu de maniere classique 
de controler la bonne execution d'une ecriture ou d'un 
ef f acement de la memoire) . Dans ce cas le systeme 
d' exploitation du module de securite decide de 
d^sactiver la zone A (etape 42) et de ne travailler 
qu'avec la zone B (etape 80) . A chaque demande de 
memorisation d' unites consommees la zone B est effacfee 
et reecrite. 

Bien evidemment, la capacite de memorisation de la 
zone B va a son tour rapidement etre deterioree mais le 
compteur peut continuer a §tre exploits quelque temps 
encore . 

D' autre part, pour renforcer la s£curit§ de la 
gestion du compteur, il est possible d' a j outer un 
mecanisme permettant de garantir un etat coherent dudit 
compteur, si une coupure de courant intervient durant 
1' operation de memorisation. II n'est pas pertinent 
d'envisager une operation d'arrachement du module de 
securite car generalement celui-ci est parfaitement 
integr£ au publiphone. Ceci dit, le cas d'arrachement 
se gererait de la meme maniere. 

Dans le cadre de 1' invention, pour implanter un tel 
mecanisme (appelS ci-apres mecanisme de recouvrement) , 
la zone B est dotee d'un code de redondance. De plus la 
zone B est dupliquee (cf . figure 1, 2B, et 3) . 

La zone SB ainsi definie est utilisee comme 
sauvegarde de la precedente. Elle est mise a jour avant 
toute modification de la zone B. 

La zone SB contient a tout moment la valeur de la 
zone B, precedant la derniere mise a jour de la dite 
zone. 

Un octet supplementaire au sein de la zone C est 
utilise pour indiquer si 1 7 operation de memorisation a 
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ete partiellement ou entierement effectuee, il s'agit 
de 1' information temoin C2 . 

Ainsi, en debut de traitement d'une demande de 
memorisation d' unites, C2 est memorisee. Elle est 
effacee une fois que cette meme operation de 
memorisation est entierement realisee. Pour eviter de 
trop stresser 1' octet C2, celui-ci n'est utilise (ecrit 
puis efface ) que dans le cas ou le nombre d' unites a 
memoriser est superieur au nombre de bits encore 
disponibles dans la zone A. 

Dans le cas contraire, l'octet C2 est inutilise. 
Parmi les bits disponibles de la zone A, n bits sont 
allumes. L' operation de memorisation est terminee. On 
considere que la perte d' information est minime. 

Dans le cas ou le nombre de bits disponibles au 
sein de la zone A est insuffisant, il est imperatif 
d'activer la procedure permettant ulterieurement 
d'actionner le mecanisme de recouvrement au cas oil il y 
a anomalie. 

En effet, si une coupure de courant survient apres 
que la zone B ait ete effacee et non a nouveau 
reecrite, toute 1' information du compteur d'unites 

sera it perdue. 

On va maintenant detainer l'etape prealable a tout 
enregistrement de verification du compteur (figure 2B) . 

Le systeme verifie 1' absence du temoin C2 (11). 

Si le temoin C2 est absent (12), le systeme verifie 
les champs contenant les codes de redondance. 

Si ces champs sont valides (13) on enregistre les n 
unites consommees. 

Si les champs ne sont pas valides (14) , il y a 
detection d'un defaut, arret du compteur (et 
6ventuellement une alarme) . 
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Dans le cas ou le temoin existe (15) il y a mise en 
oeuvre du mecanisme de recouvrement detaille a partir 
de la figure. 

On va maintenant detainer 1' operation de mise a 
jour de la zone B selon cette variante (cf figure 3) . 

Comme on peut le voir sur la figure 3 (etapes 51 a 
55) , le temoin C2 est tout d'abord ecrit, la valeur 
courante par exemple VO du compteur codee dans la zone 
B est recopiee dans la zone SB. Puis la zone B est mise 
a jour (nouvelle valeur VI egale a la valeur courante a 
laquelle on ajoute le nombre de bits grilles dans la 
zone A et les n-L unites restantes a memoriser) . La 
zone A est ensuite effacee et le temoin C2 est alors 
efface pour indiquer que 1' operation de memorisation a 
ete effectuee entierement avec succes. 

Dans la description realisee, tout se passe 
normalement, il n'y a pas eu coupure d' alimentation 
durant 1' operation de memorisation. 

A present, si une coupure est intervenue, 
1' activation du mecanisme de recouvrement est dScrite 
ci-apres (cf, figure 4 )• 

Celui-ci est active lors de la prochaine demande de 
memorisation que le nombre de bits disponible au sein 
de la zone A soit suffisant ou non pour memoriser les n 
unites. 

Si le temoin C2 est allume alors avant de memoriser 
les unites consommees, le mecanisme de recouvrement est 
actionne par le systeme d' exploitation du module de 
sScurite. 

Plusieurs cas se presentent. En effet la coupure a 
pu intervenir durant la mise a j our de la zone SB 
(cas 1), durant la mise a jour de la zone B (cas 2), 
durant 1'effacement de la zone A (cas 3) ou entre 
ledites mises a jour (cas 4 et cas 5) . 
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La procedure de recouvrement doit etre distincte en 
fonction des differents cas listes precedemment . 

Dans le cas ou la zone SB n'a pu etre correctement 
mise a jour (cas 1) , le code de redondance SCR de 
celle-ci n'est pas conforme. La valeur contenue VO dans 
la zone B est alors recopiee dans la zone SB, la zone B 
est ensuite mise a jour (nouvelle valeur VI egale a la 
valeur courante VO de la zone B a laquelle il faut 
ajouter le nombre de bits grilles dans la zone A valeur 
VA) . Seul le nombre d' unites n-L qui devaient etre 
memorise lors de la memorisation interrompue est perdu. 

La zone A est alors effacee et le temoin C2 
egalement. 

Dans le cas ou la zone SB a ete correctement mise a 
jour ma is la zone B ne l'a pas ete correctement (cas 
2 ) , le code de redondance SCR de la zone SB est 
correct. Par centre, celui CR de la zone B est 
incorrect. 

La zone B est alors mise a jour comme suit : 
La nouvelle valeur VI de la zone B est egale a la 
valeur VO de la zone SB a laquelle on ajoute le nombre 
de bits grilles dans la zone A e'est a dire une valeur 

VA, VI = VO + VA. 

Dans ce cas comme dans le precedent, la seule 
information perdue correspond au nombre n-L unites 
restantes qui devait etre memorise durant la 
memorisation interrompue. La zone A est alors effacee 
et le temoin C2 egalement. 

En examinant seulement les codes de redondance de 
la zone SB et de la zone B, il est impossible de savoir 
si la coupure de courant a eu lieu entre la mise a jour 
des zones SB et B (cas 4) ou apres la mise a jour de 
ces deux zones (cas 5) . En effet dans ces deux cas les 
codes de redondance sont tous les deux corrects. 
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Pour distinguer les cas 4 et 5, le systeme 
d' exploitation du module de securite compare les 
valeurs des zones SB et B : V(SB) = V(B) ? : 

Si la zone SB contient la meme valeur que la zone B 
alors la coupure d' alimentation a dG avoir lieu entre 
la mise a jour des zones SB et B (cas 4) . Le traitement 
du mecanisxne de recouvrement est alors identique a 
celui detaille precedemment (cas 2) . 

Dans le cas contra ire, la zone B a done da dtre 
correctement mise a jour (cas 5) • II faut alors ef facer 
la zone A et le temoin C2 . Aucune information n'a ete 
perdue dans ce cas. 

II reste a traiter le cas ou la coupure de courant 
a eu lieu durant 1'effacement de la zone A (cas 3) . Ce 
cas est similaire au cas precedent (cas 5) . 

Une fois que le mecanisme de recouvrement a ete 
execute, les n unites a memoriser le sont conf ormement 
a la description de 1' invention realisee precedemment • 
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REVENDI CATIONS 



1. Procede de gestion securisee d'un compteur 
d'unites dans une memoire programmable et effacable 
electriquement, selon lequel on enregistre un nombre 
d'unites consommees par des utilisateurs au moyen du 
compteur, caracterise en ce qu'il consiste a decomposer 
le compteur d' unites en au moins deux zones memoires 
(A, B), une premiere zone (A) dans laquelle on memorise 
au moins un bit par au moins une unite consommee et une 
deuxieroe zone (B) dans laquelle on memorise la valeur 
correspondant au cumul d'unites consommees, la deuxieme 
zone n'etant mise a jour que lorsque le nombre d'unites 
consommees depasse ou atteint le nombre de bits non 
memorise dans la premiere zone. 

2. Procede de gestion d'un compteur selon la 
revendication l, caracterise en ce que les unites 
consommees sent enregistrees dans la premiere zone de 
maniere cyclique. 

3. Procede de gestion selon les revendications 1 et 
2, caracterise en ce qu'une operation d'enregistrement 
de n unites consommees comprend les etapes suivantes : 

- lecture du contenu de la premiere zone (A) et 
comparaison du nombre de bits (L) non memorises de la 
zone (A) au nombre d'unites (n) consommees a 
enregistrer , 

- si ce nombre de bits non memorises (L) est 
superieur ou egal au nombre d'unites (n) a enregistrer, 
on memorise les (n) bits correspondant dans ladite 
zone (A) , 



- si ce nombre (L) est inferieur, on memorise (L) 
bits dans la premiere zone (A) et on enregistre les (n- 
L) unites restantes dans la deuxieme zone (B) en 
effectuant une operation de mise a jour de cette zone 
et la premiere zone (A) est effacee. 

4. Procede de gestion selon l'une quelconque des 
revendications 1 a 4 caracterise en ce qu'une operation 
de mise a jour de la deuxieme zone (B) comprend une 
etape d'ecriture dans cette zone d'une nouvelle valeur 
de compteur codee egale a la valeur courante a laquelle 
on. ajoute le nombre de bits memorises de la premiere 
zone (A) et les (n-L) unites restantes consommees a 
memoriser . 

5. Procede de gestion selon la revendication 4 
caracterise en ce que la mise a jour comprend une etape 
prealable d' enregistrement d'une information terooin 
(C2) signifiant qu'une mise a jour est en cours. 

6. Procede de gestion selon l'une quelconque des 
revendications precedentes caracterise en ce que le 
compteur d' unite comporte une zone de sauvegarde (SB) 
de la deuxieme zone (B) et en ce que ces deux zones 
comportent chacune un champs pour l'enregistrement d'un 
code de redondance (CR, SCR) pour la verification de 
l'integrite du contenu de ces deux zones. 

7. Procede de gestion selon les revendications 4 et 
5, caracterise en ce qu'une operation d'enregistrement 
de n unites consommees comprend en outre une etape 
prealable de verification de l'etat du compteur 
comprenant les operations suivantes : 
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- verification de 1' absence de 1' information temoin 
d'une mise a jour en cours : 

- dans le cas ou 1 ' information temoin est bien 

absente : 

- verification de la validite des champs 
contenant les codes de redondances : 

. dans le cas ou les champs sont valides : 

- enregistrement des n unites; 

. dans le cas ou les champs ne sont pas 
valides : 

- detection d'un defaut et arret du 
compteur . 

- dans le cas ou 1' information temoin est 
presente : 

- activation de 1' operation de recouvrement 
pour retablir 1' integrity des contenus du compteur. 

8. Procede de gestion selon les revendications 6 et 
7, caracterise en ce qu'une operation de mise a jour de 
la deuxieme zone (B) coroporte alors les etapes 
suivantes: 

- enregistrement del' information temoin (C2) , 

- recopie dans la zone de sauvegarde (SB) de la 
valeur (VO) du compteur codee de la deuxieme zone (B) , 

- enregistrement de la nouvelle valeur du compteur 
codee dans la deuxieme zone (B) , 

- effacement de 1' information temoin (C2) , 

9. procede de gestion selon la revendication 8, 
caracterise en ce que 1' operation de recouvrement 
consiste a determiner a quelle etape s'est produite 
l'anomalie, puis a operer selon le cas determine, les 
etapes de mise a jour de la zone de sauvegarde (SB) 
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et/ou de la deuxieme zone (B) et/ou de la premi&re zone 

(A) . 

10 • Procede de gestion selon la revendication 9, 
caracteris6 en ce que la determination de l'etape a 
laquelle s'est produite l'anomalie consiste a lire le 
contenu de chacune des zones pour savoir si l'anomalie 
s'est produite pendant la mise a jour de la zone de 
sauvegarde (SB) cas 1, pendant la mise a jour de la 
deuxieme zone (B) cas 2, pendant l'effacement de la 
premiere zone (A) cas 3, entre la mise a jour de la 
deuxieme zone (B) et la zone de sauvegarde (SB) cas 4, 
apres la mise a jour de ces deux zones cas 5, 

. dans le cas 1 a : 

- recopier la valeur contenue dans la deuxieme zone 

(B) dans la zone de sauvegarde (SB), 

- mettre a jour la deuxieme zone (B) en 
enregistrant la nouvelle valeur qui est egale a 
1'ancienne a laquelle on ajoute le contenu de la 
premiere zone (A) , 

- ef facer la premiere zone (A) , 

- ef facer 1 ' information temoin (C2) ; 
. dans le cas 2a: 

- recopier dans la deuxieme zone (B) la valeur 
contenue dans la zone de sauvegarde (SB) en rajoutant 
la valeur contenue dans la premiere zone (A) , 

- ef facer la premiere zone (A) , 

- ef facer 1 ' information temoin (C2) ; 
. dans le cas 3a: 

- ef facer le contenu de la premiere zone (A) , 

- ef facer 1' information temoin (C2) ; 
. dans le cas 4 a : 

- mettre en oeuvre les etapes selon le cas 2 ; 
• dans le cas 5 a : 
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- roettre en oeuvre les etapes selon le cas 3 . 

11. Procede de gestion selon l'une quelconque des 
revendications precedentes, caracterise en ce qu'il 
comprend l'etape d'enregistrement d'une information 
significative (Cl) d'une defaillance en lecture ou en 
ecriture de la premiere zone (A) desactivant ladite 
zone lorsqu'il n'a pas ete possible de lire ou d'ecrire 
dans cette zone, une etape de lecture de cette 
information a chaque nouveau cycle, les unites 
consommees etant alors directement enregistrees de 
maniere codee par une operation de mise a jour de la 
deuxieme zone (B) . 

12. Procede de gestion selon la revendication 5 et 
la revendication 11, caracterise en ce que 
1' information temoin (C2) d'une mise a jour en cours et 
1' information significative d'une defaillance (Cl) en 
lecture et en ecriture de la premiere zone sont 
enregistrees dans une troisieme zone (C) dudit 
coropteur . 

13. Module de securite (MS) mettant en oeuvre le 
procede selon l'une quelconques des revendications 
precedentes . 

14. Module de securite selon la revendication 13, 
caracterise en ce qu'il est implante dans un terminal 
gerant des unites consommees, notamment un terminal de 
telephonie. 
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- si ce nombre (L) est inferieur, on memorise (L) 
bits dans la premiere zone (A) et on enregistre les (n- 
L) unites restantes dans la deuxieme zone (B) en 
effectuant une operation de mise a jour de cette zone 
et la premiere zone (A) est effacee. 

4. Procede de gestion selon l'une quelconque des 
revendications 1 a 3 caracterise en ce qu'une operation 
de mise a jour de la deuxieme zone (B) comprend une 
etape d'ecriture dans cette zone d'une nouvelle valeur 
de compteur codee egale a la valeur courante a laquelle 
on ajoute le nombre de bits memorises de la premiere 
zone (A) et les (n-L) unites restantes consommees a 
memoriser . 

5. Procede de gestion selon la revendication 4 
caracterise en ce que la mise a jour comprend une etape 
prealable d' enregistrement d'une information temoin 
(C2) signifiant qu'une mise a jour est en cours. 

6. Procede de gestion selon l'une quelconque des 
revendications precedentes caracterise en ce que le 
compteur d 'unite comporte une zone de sauvegarde (SB) 
de la deuxieme zone (B) et en ce que ces deux zones 
comportent chacune un champs pour 1 ' enregistrement d'un 
code de redondance (CR, SCR) pour la verification de 
l'integrite du contenu de ces deux zones - 

7* Procede de gestion selon les revendications 4 et 
5, caracterise en ce qu'une operation d' enregistrement 
de n unites consommees comprend en outre une etape 
prealable de verification de l'etat du compteur 
comprenant les operations suivantes : 
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- verification de l'absence de 1' information temoin 

d'une mise a jour en cours : 

- dans le cas ou 1' information temoin est bien 

absente : 

- verification de la validite des champs 
contenant les codes de redondances : 

. dans le cas ou les champs sont valides : 

- enregistrement des n unites; 

. dans le cas ou les champs ne sont pas 
valides : 

- detection d'un defaut et arret du 
compteur - 

- dans le cas ou 1' information temoin est 
presente : 

- activation de 1' operation de recouvrement 
pour retablir l'integrite des contenus du compteur. 

8. Procede de gestion selon les revendications 6 et 
7, caracterise en ce qu'une operation de mise a jour de 
la deuxieme zone (B) comporte alors les etapes 
suivantes: 

- enregistrement de 1' information temoin (C2) , 

- recopie dans la zone de sauvegarde (SB) de la 
valeur (VO) du compteur codee de la deuxieme zone (B) , 

- enregistrement de la nouvelle valeur du compteur 
codee dans la deuxieme zone (B) , 

- ef facement de la premiere zone (A) , 

- ef facement de 1' information temoin (C2) , 

9. Procede de gestion selon la revendication 8, 
caracterise en ce que 1' operation de recouvrement 
consiste a determiner a quelle etape s'est produite 
l'anomalie, puis a operer selon le cas determine, les 
etapes de mise a jour de la zone de sauvegarde (SB) 
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et/ou de la deuxieme zone (B) et/ou de la premiere zone 

(A) . 

10, Precede de gestion selon la revendication 9, 
caracterise en ce que la determination de I'etape a 
laquelle s'est produite l'anomalie consiste a lire le 
contenu de chacune des zones pour savoir si l'anomalie 
s'est produite pendant la mise a jour de la zone de 
sauvegarde (SB) cas 1, pendant la mise a jour de la 
deuxieme zone (B) cas 2, pendant l'effacement de la 
premiere zone (A) cas 3, entre la mise a jour de la 
deuxieme zone (B) et la zone de sauvegarde (SB) cas 4, 
apres la mise a jour de ces deux zones cas 5; le 
recouvrement consistant : 

. dans le cas 1 a : 

- recopier la valeur contenue dans la deuxieme zone 

(B) dans la zone de sauvegarde (SB) , 

- mettre a jour la deuxieme zone (B) en 
enregistrant la nouvelle valeur qui est egale a 
l'ancienne a laquelle on ajoute le contenu de la 
premiere zone (A) , 

- ef facer la premiere zone (A) , 

- ef facer 1' information temoin (C2) ; 
. dans le cas 2a: 

- recopier dans la deuxieme zone (B) la valeur 
contenue dans la zone de sauvegarde (SB) en rajoutant 
la valeur contenue dans la premiere zone (A) , 

- ef facer la premiere zone (A) , 

- ef facer 1' information temoin (C2) ; 
. dans le cas 3a: 

- ef facer le contenu de la premiere zone (A) , 

- ef facer 1 ' information temoin (C2) ; 
. dans le cas 4a: 

- mettre en oeuvre les etapes selon le cas 2 ; 



. dans le cas 5 a : 

- mettre en oeuvre les etapes selon le cas 3. 



11. Procede de gestion selon l'une quelconque des 
revendications precedentes, caracterise en ce qu'il 
comprend l'etape d' enregistrement d'une information 
significative (CI) d'une defaillance en lecture ou en 
ecriture de la premiere zone (A) desactivant ladite 
zone lorsqu'il n'a pas ete possible de lire ou d'ecrire 
dans cette zone, une etape de lecture de cette 
information a chaque nouveau cycle, les unites 
consommees etant alors directement enregistrees de 
maniere codee par une operation de mise a jour de la 
deuxieme zone (B) . 

12. Procede de gestion selon la revendication 5 et 
la revendication 11, caracterise en ce que 
1' information temoin (C2) d'une mise a jour en cours et 
1' information significative d'une defaillance (CI) en 
lecture et en ecriture de la premiere zone sont 
enregistrees dans une troisieme zone (C) dudit 
compteur . 

13. Module de securite (MS) mettant en oeuvre le 
procede selon l'une quelconques des revendications 
precedentes . 

14. Module de securite selon la revendication 13, 
caracterise en ce qu'il est implante dans un terminal 
gerant des unites consommees, notamment un terminal de 
telephonie. 
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